Trojaner-Board - bezahlung und update auch bei mir

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - bezahlung und update auch bei mir (https://www.trojaner-board.de/109896-bezahlung-update-mir.html)

bezahlung und update auch bei mir

Schönen guten Tag,

bei mir hat das dingens auch gestern abend auf meinem anderen rechner zugeschlagen.
hab win xp home, hab jetz otl durchlaufen lassen die otl datei is zugross um sie hochzuladen oder gibs noch andere möglichkeit hab leider nich soviel erfahrung. aber die extra datei kann ich schon ranhängen.
muss ich sonst noch irgendwelche anderen sachen machen oder reicht das erstmal mit den otl-anhängen

danke schonmal im voraus für die hilfe

MfG Frank

Hi,

das extrafile nutzt wenig, bitte OTL-Log packen und dann anhängen...

chris

habs mal verrpackt hoffe ihr könnt mir jetz helfen

Hi,

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:OTL

IE - HKCU\..\URLSearchHook:  - No CLSID value found

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O4 - HKCU..\Run: [ffdwnd] C:\Dokumente und Einstellungen\Frank & Annett\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe (Tomasz Pawlak)
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

so hab hier den fix log hoffe ich zumindest und obs hier richtig is weiss ich auch nich.
malwarebytes läuft grad durch. wo soll ich die logfile dann reinstellen auch hier?

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ffdwnd deleted successfully.
C:\Dokumente und Einstellungen\Frank & Annett\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 514704 bytes
->Temporary Internet Files folder emptied: 65670 bytes

User: All Users

User: Besitzer

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 65670 bytes

User: Frank & Annett
->Temp folder emptied: 742801138 bytes
->Temporary Internet Files folder emptied: 14164641 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 56578014 bytes
->Google Chrome cache emptied: 8189593 bytes
->Flash cache emptied: 1798544 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 1124962 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 4905863 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7978772 bytes
RecycleBin emptied: 254 bytes

Total Files Cleaned = 799,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 02142012_172900

Hi,

ja, MAM-Log ebenfalls hier posten...

chris

malwarebytes is durch

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.14.03

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Frank & Annett :: FRANKUANNETT [Administrator]

14.02.2012 17:59:51
mbam-log-2012-02-14 (17-59-51).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 346091
Laufzeit: 1 Stunde(n), 36 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ffdwnd (Trojan.Zbot.CBCGen) -> Daten: C:\Dokumente und Einstellungen\Frank & Annett\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Dokumente und Einstellungen\Frank & Annett\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Frank & Annett\Desktop\Revo Uninstaller Pro v2 5 3 Final - Multilanguage + Deutsch\dArKwOLf\RUP253 PATCH\Revo.Uninstaller.Pro.2.x.x.Generic.Patch-JW.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Frank & Annett\Eigene Dateien\Downloads\pdrtw15t\pztrain.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Frank & Annett\Eigene Dateien\Downloads\pdrtw15t\rome_total_war_barbarian_invasion_plus_2_trainer\pztrain.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Ubisoft\Blue Byte\DIE SIEDLER - Das Erbe der Könige - Gold Edition\gghz-sekv1.6trn\gghz-sekv1.6trn.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{A11D6FCD-EF8E-4B5C-825C-5292F47DB320}\RP1487\A0182255.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\H@tKeysH@@k.DLL (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

malsehen obs jetz geht

danke für die hilfe

Hi,

OTL hat ihn erwischt, aber bis MAM lief war er schon wieder drauf...
Inzwischen auf irgendeine Seite gesurft?

chris

schönen guten morgen

Erstmal sorry für die verspätete Antwort, bin Gestern nich mehr am Rechner gekommen eingschlafen aufm Sofa.

Zu deiner Frage, hab nur Malwarebytes aktualisiert die sonst war der rechner vom Router abgeklemmt auf irgend welche Seiten war ich nich. Hab von meinen zweiten Rechner alles gemacht via usbstick hin und her geschoben.

gibs jetz eigendlich ein besseres Antivirenprogramm, avira scheint ja nich so toll zusein sollte aber auch kostenlos sein.

MfG Frank

Hi,

habe mir das MAM-Log nochml angesehen....
Du hattest mehrer Dropper / Agent drauf, die u. U. das Teil nachladen konnten...
Das sieht auch nach dem Einsatz von gecrackter SW aus, das widerspricht den Boardregeln...
Daher muss ich an der Stelle abbrechen, nur noch die Empfehlung SASW anzuwerfen...

chris&out

danke für den tip mit dem antivir prog

mit der gecrackten SW muss ich mal mit meinen bruder sprechen der is 14 jahre
is der rechner von meiner frau und wenn er bei mir zu besuch is spielt er an dem rechner öfter ich bin fast nie an diesem dran mal schauen was er dazu sagt.

aber ich entschuldige mich dafür das ich gegen die boardregeln verstossen habe tut mir echtleid wenn ich davon gewust hätte hätte ich es vorher alles gelöscht.

MfG frank